Retour d’expérience sur la certification ISO 9001 d’ACTILITY

Retour d’expérience sur la certification ISO 9001 d’ACTILITY

Entretien avec Olivier Hersant, CEO ACTILITY

Créée en 2010, la société Actility est spécialisée dans le déploiement de réseaux bas débit longue portée pour l’Internet des Objets (IoT). Elle est l’un des créateurs du protocole de communication LoRaWAN, reposant sur des fréquences radio hors-licence pour connecter des objets entre eux. En 2019, après un accompagnement réalisé par Feel Agile, la société a obtenu la certification ISO 9001 de ses activités sans non-conformité.

A la veille de l’audit de suivi marquant la première année du cycle de certification, nous avons rencontré Olivier Hersent, co-fondateur et CEO de l’entreprise, pour qu’il nous explique sa démarche, ses enjeux et l’évolution de l’organisation de son entreprise ces derniers mois.

Bonjour Olivier Hersant. Pouvez-vous nous en dire plus sur votre volonté faire certifier Actility ISO 9001 ?

Nous travaillons dans un secteur qui est extrêmement sensible à la qualité. Il y a une fameuse expression anglaise qui évoque bien cela : « carrier class », le symbole de la qualité extrême. Nos systèmes sont déployés à très large échelle et nous travaillons sur des réseaux nationaux, ce qui nécessite une attention particulière à la qualité. Concernant l’obtention de la certification ISO 9001, il s’agit à l’origine d’une demande de la part d’un de nos clients.

S’agissant d’une exigence client, comment abordiez-vous la démarche de certification ? 

Même si Actility a dix ans, je travaille avec l’équipe depuis plus de vingt ans et nous étions auparavant certifiés ISO 9001. Nous sommes donc très familiers de l’ISO 9001. Nous étions tous absolument convaincus de l’intérêt du fonctionnement ISO dans l’organisation interne pour assurer un bon niveau de qualité. Et nous étions également convaincus que nous suivions suffisamment les recommandations de la norme dans l’esprit et dans la pratique. Donc pour nous, la motivation d’une telle démarche de certification, était évidemment de satisfaire le client mais aussi de valoriser nos produits en ayant une reconnaissance officielle du niveau de qualité.

Quel a été le bénéfice principal de l’ISO 9001 pour votre entreprise ?

Nous avons eu un bénéfice complètement inattendu de l’ISO 9001, c’est la qualité de notre intranet. A l’époque, nous étions 150 personnes. Des enjeux de communication se sont posés : comment tel département sait ce que tel autre département fait ? Surtout que nous sommes présents dans une dizaine de pays et nous avons quatre sites rien qu’en France. Nous voulions donc créer un intranet mais nous n’y arrivions pas. C’était de mauvaise qualité ou les gens n’y participaient pas…

Lorsque nous avons débuté la démarche de certification, nous avons confié la réalisation du projet ISO 9001 à une collaboratrice qui avait un profil informatique. Elle a souhaité que le projet devienne complètement online et elle s’est appuyée ainsi sur l’intranet. Chaque département a donc commencé à mettre ses process, ses enregistrements et ses illustrations sur l’intranet. Et en l’espace de trois mois, nous avons obtenu un intranet extrêmement bien structuré selon la composition de la société en process, illustré, à jour et avec des collaborateurs qui ont commencé à vraiment l’utiliser. C’est aujourd’hui le plus grand bénéfice que nous avons retiré de cette démarche ISO.

 Avec l’ISO 9001, nous pouvons améliorer la qualité, l’organisation de notre structure mais également améliorer la communication des équipes internes avec un intranet de qualité bien mieux structuré. Pour moi, c’est presque devenu ma méthodologie de référence pour réaliser un système de communication interne dans une entreprise !

Combien de temps vous a-t-il fallu pour mettre en place la démarche de certification ? Et pourquoi avoir fait le choix de vous faire accompagner ?

Il nous a fallu environ neuf mois pour mettre en place l’ISO 9001 et obtenir la certification. Concernant le choix de l’accompagnement, même si nous avions une culture très forte de l’ISO, c’était quand même une culture qui datait de dix ans auparavant…

Nous n’avions pas connaissance des simplifications dans les récentes normes. C’était également pour donner et assurer une dynamique interne. Nous sommes une petite société et nos collaborateurs sont déjà à 110%.

Psychologiquement de devoir reporter à quelqu’un qui est extérieur, ne serait-ce qu’avoir un rendez-vous avec quelqu’un de l’extérieur, c’est assez différent et engageant. C’est le binôme entre une personne dédiée en interne et la crédibilité et l’amicale pression de quelqu’un en externe qui a contribué à ce que nos collaborateurs trouvent du temps et avancent sur le projet ISO 9001.

Comment Feel Agile vous a accompagné dans votre démarche de certification ?

Feel Agile a été comme un sparring partner avec la personne dédiée en interne au projet. Ils nous ont accompagné sur la production documentaire. C’était vraiment très important pour nous d’avoir la capacité d’un accompagnement continu assez régulier. Il y avait des points chaque semaine. Le fait d’avoir cette ressource permanente, c’était assez souple pour l’accompagnement de nos équipes.

Comment qualifiez-vous l’accompagnement de Feel Agile ?

Je dirais que c’est un accompagnement pragmatique. Le fait d’avoir un auditeur qui vient voir votre travail, je pense que dans la culture française, ça rend les gens extrêmement nerveux. On a des collaborateurs qui tout d’un coup ne se sentent pas concernés ou n’ont pas envie d’assister aux réunions. Il y a ce côté de “retour à l’école” avec l’impression que quelqu’un vient vous noter. J’étais assez étonné de la force de ce frein. Feel Agile a pu parfaitement rassurer nos collaborateurs et dédramatiser l’exercice de l’audit. 

Cela fait presque un an que vous êtes certifié. Comment entretenez-vous la certification dans le temps ?

Dans ma précédente entreprise, nous avions choisi de mettre uniquement le cœur de métier dans le périmètre de certification. Nos équipes R&D ont dont l’habitude de travailler de cette façon, depuis de nombreuses années. Le système de qualité fonctionne tout seul. Pour cette certification, nous avons choisi de mettre dans le scope la société entière. Aujourd’hui, c’est beaucoup plus difficile de garder à jour les autres départements qui viennent de se faire certifier car ils n’ont autant l’habitude de la tenue des process que notre R&D.

Par ailleurs nous avons choisi au cours de l’année de fusionner certains départements. Pour tenir à jour notre système de management de qualité, nous passons donc en revue les processus pour les réattribuer ou les changer selon le nouveau contexte. Et je constate qu’avec la démarche qualité, nos collaborateurs vont spontanément s’exprimer sur des ambiguïtés qui pourraient exister.

En France, notre culture ne nous porte pas à extérioriser et faire des remarques sur l’organisation de la société… on en parle au café entre collègues mais pas aux managers, par peur que ce soit mal vu. Avec l’excuse de la qualité, nos collaborateurs s’expriment beaucoup plus. J’ai mis en place au sein de la société un outil, une lettre de communication interne qui répond à tout ce qui a émergé pendant la semaine. Cette lettre me permet de communiquer à tous les salariés en temps réel. L’outil est efficace. La qualité est donc devenue chez nous un véritable animateur clé de tout processus de communication interne.

Propos recueillis par Ségolène Lhommée Communication (Stratégie de communication – Conception et rédaction de supports de communication)

A propos d’Actility (www.actility.com)

Actility est un leader mondial des réseaux industriels radio à très basse consommation (LoRaWAN) pour l’Internet des objets. Plus de 50 opérateurs de réseaux publics et des milliers d’entreprises font confiance à la plate-forme « ThingPark » dans le monde. Actility fournit aussi des technologies de géolocalisation brevetées à ultra-basse consommation à travers sa filiale Abeeway (www.abeeway.com). La plateforme ThingPark, certifiée ISO 9001 et bénéficiant de plus de 7 ans d’expérience dans toutes les régions du monde, est au cœur de nombreuses innovations qui font progresser l’agriculture ou l’élevage, améliorent la productivité et la sécurité dans de nombreuses industries, et contribuent ainsi au développement durable. ThingPark Market (http://market.thingpark.com ) met à disposition un large choix de passerelles, capteurs et solutions IoT.

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Comprendre les certifications du numérique (volet 2 : ISO 9001, ISO 20000, ISO 27701, SecNumCloud)

Comprendre les certifications du numérique (volet 2 : ISO 9001, ISO 20000, ISO 27701, SecNumCloud)

Après avoir fait un focus dans le premier volet sur la certification ISO 27001, HDS et la règlementation RGPD, nous allons passer en revue dans ce deuxième volet les certifications :

  • Certification ISO 9001 en Management de la qualité,
  • ISO 20000 Management des services informatique
  • Norme ISO 27701 Certification du Management de la Protection de la vie privée
  • La qualification SecNumCloud – sécurité des services SaaS

Pourquoi la norme ISO 9001 est une des normes les plus reconnues à travers le monde ?

La norme ISO 9001 est la norme de management la plus déployée et reconnue sur le plan international. Avec plus d’un million de certificats à travers le monde, elle est utilisée comme un outil de pilotage d’entreprise. Cette démarche permet d’avoir un véritable socle qui permet de maitriser ses activités en clarifiant les responsabilités de chacun. L’ISO 9001 amène à un état des lieux des dysfonctionnements et des risques. Ces risques sont traités ce qui permet une réduction des sources de non-qualité.

Obtenir cette certification permet de démontrer son aptitude à fournir un produit ou un service conforme aux exigences des clients et aux exigences légales et réglementaires applicables. De plus, la direction montre également sa volonté d’accroître la satisfaction de ses clients. C’est un véritable avantage concurrentiel et outil d’amélioration.

En quoi consiste la mise en place et l’obtention d’une certification ISO 9001 ?

L’obtention de la certification ISO 9001 demande de répondre aux exigences de la norme. En mettant en place un Système de Management de la Qualité (SMQ), l’entreprise réajuste les processus existants. La direction passe en revue, vérifie et contrôle l’efficacité de ces processus et des actions réalisées. Pendant la préparation de la certification et l’instauration du SMQ, le référent désigné, le responsable qualité, informe, sensibilise et communique avec tous les collaborateurs sur l’engagement de l’entreprise, la politique et les orientations données par la direction. La mise en oeuvre de la norme ISO 9001 est un véritable projet d’entreprise.

Une fois la certification obtenue par un organisme certificateur, elle est valable pendant trois ans. Pendant ce laps de temps, des audits de surveillance se tiennent chaque année, jusqu’au renouvellement du cycle de certification au bout de ces trois années.

Mettre en place la certification ISO 20000 Management des services informatiques

La norme ISO 20000, issue de la norme britannique BS 15000, est une norme visant à garantir un niveau de qualité élevé des services en technologies de l’information pour le client et pour les employés de l’entreprise. Elle s’appuie sur le référentiel de bonnes pratiques ITIL et les principes du cycle de Deming (P pour Plan : planifier, D pour Do : faire, C pour Check : contrôler et vérifier, A pour Act : chercher des points d’amélioration).

La réponse aux exigences de la norme permet de produire un service plus efficient et de réduire les coûts sur le long terme. C’est un atout concurrentiel non négligeable car elle garantit une qualité de service : réduction des risques, qualité de service vérifiée tous les ans et image d’expertise du service IT.

La nouvelle norme 27701 entrée en vigueur en août 2019, qu’est-ce que c’est ?

Avec l’entrée en application de la RGPD en mai 2018, la norme 27701 sur les données personnelles a été mise à jour. Elle regroupe les exigences relatives à l’établissement, la mise en œuvre, la mise à jour et l’amélioration continue d’un système de management de la vie privée. Elle permet donc d’évaluer efficacement, d’identifier et de traiter les risques associés à la collecte et au traitement des données personnelles. C’est un complément à la norme ISO 27001. Pour être donc certifié ISO 27701, il faudra préalablement être certifié ISO 27001 sur le périmètre. La réponse aux exigences de cette norme est un excellent moyen pour toute entreprise d’adopter une démarche d’amélioration continue et de renforcer la confiance des parties prenantes.

Quelles sont les autres normes ISO qui concernent les entreprises du numérique et notamment les services de cloud ?

La suite ISO 27000 contient les normes pour l’implémentation et le maintien du Système de Management de la Sécurité de l’Information, les recommandations des meilleures pratiques et un nombre croissant de normes liées au SMSI. Pour les services de cloud spécifiquement, la ISO 27017 est un code de pratique pour les contrôles de sécurité de l’information fondés sur les objectifs de contrôles de ISO 27002 et la ISO 27018 concerne la protection des données à caractère personnel. Cette dernière peut donner lieu à une certification.

Et la qualification SecNumCloud ?

La qualification SecNumCloud, délivrée par l’ANSSI, est un référentiel de sécurité adapté aux métiers de services en nuage. Son approche centralisée traite la problématique de sécurité de manière globale. Le SecNumCloud s’adresse spécifiquement aux Opérateurs d’Importance Vitale et aux organismes étatiques. Mais elle concerne également chaque entreprise qui manipule des données sensibles et qui est soumise à des enjeux importants de sécurité et de confidentialité des données. Une fois la qualification délivrée, des audits de surveillance sont réalisés tous les 18 mois afin de contrôler la bonne conformité des dispositifs.

Entrons en contact sur LINKEDIN Thomas DE MOTA

Feel Agile sur Linkedin

Si vous souhaitez vous faire accompagner dans la mise en place de ces normes et dans la préparation à une certification ou si vous souhaitez en savoir plus, vous pouvez nous contacter ici.

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Comprendre les certifications pour les entreprises du numérique (volet 1)

Beaucoup d’entreprise du monde numérique ont besoin de mettre en place des certification ISO (ISO 9001, ISO 27001, ISO 20000) ou des certification en sécurité de l’information (Certification HDS, SecNumCloud).

C’est pour nous l’occasion de faire le point sur les différentes certifications existantes, leurs différences, leurs avantages pour votre entreprise mais aussi les conditions de leur mise en œuvre :

  • Quels sont les bénéfices d’obtenir la certification ISO 270001 ?
  • En quoi consiste la mise en place et l’obtention d’une certification ISO 27001 ?
  • Qu’est-ce que la certification Hébergeur de Données de Santé (HDS) ? Qui est concerné par cette certification ?
  • Quels sont les liens entre le RGPD et l’ISO 27001 ?
  • Combien de temps prend la mise en œuvre de ces différentes certifications ? Quelles en sont la complexité et le coût ?
  • Quelles sont les différences entre cybersécurité et certification ISO 27001 ?
  • Anecdote de situation à risque qui aurait pu être évitée avec l’obtention de certifications

Retrouvez toutes les infos sur l’ISO 27001 dans notre FAQ 27001

Quels sont les bénéfices d’obtenir la certification ISO 27001 ?

Il y en a quatre importants :

  • Le premier bénéfice est une montée en sécurité pour l’entreprise, concernant les services proposés aux clients.
  • Le second bénéfice est de réduire les risques d’exposition à la cybercriminalité ou même à la perte de données d’information.
  • Le troisième bénéfice est une amélioration de l’organisation des processus et une clarification des responsabilités de l’entreprise. Les certifications, notamment l’ISO 27001 amènent à structurer les processus métiers, les processus d’organisation, permettant ainsi d’améliorer le fonctionnement de l’entreprise.
  • Enfin, le quatrième bénéfice est un avantage concurrentiel par rapport à d’autres entreprises concurrentes qui ne seront pas certifiées ISO 27001.

En quoi consiste la mise en place et l’obtention d’une certification ISO 27001 ?

L’obtention de la certification ISO 27001 demande de répondre aux exigences de la norme. Dans les exigences de ce référentiel, il faut mettre en place un Système de Management de Sécurité de l’Information. C’est-à-dire les processus, l’organisation, les responsabilités qui permettent au quotidien d’intégrer et de gérer la sécurité de l’information et de concourir à son amélioration continue.

Dans la mise en œuvre, on distingue généralement quatre phases :

  • une première phase de cadrage et d’analyse des risques afin de bien identifier le périmètre retenu pour la certification
  • une deuxième phase pour l’implémentation et la mise en œuvre des processus, la définition et la formalisation de ces processus.
  • une troisième phase de vérification, de contrôle, d’audit et de revue par la direction du bon fonctionnement du système et de ses résultats.
  • Et enfin, la quatrième et dernière phase de préparation de la certification et de passage en examen de certification.

Vous obtenez une certification ISO pour trois ans, c’est le cycle de certification. Elle est délivrée par un organisme certificateur, qui est lui-même accrédité par le COFRAC en France. Pendant ces trois ans, il y aura des audits de surveillance chaque année avant de recommencer un nouveau cycle de trois ans.

Qu’est-ce que la certification Hébergeur de Données de Santé (HDS) ? Qui est concerné par cette certification ?

La certification Hébergeur de Données de Santé (HDS) est une certification qui est conçue pour protéger les données personnelles de santé qui sont émises par du personnel médical. Tous les acteurs qui hébergent ces données ou infogèrent le système d’information de santé sont concernés par cette certification. Nous distinguons deux catégories de certification HDS : les certifications des hébergeurs d’infrastructures, les Data Centers, et les certifications des hébergeurs info-géreurs qui gèrent le SI de santé.

Plus d’info sur la certification HDS

Quels sont les liens entre le RGPD et l’ISO 27001 ?

Le RGPD, c’est une démarche obligatoire pour l’entreprise. C’est-à-dire que c’est une réglementation qui vise à protéger et à garantir la confidentialité des données personnelles. Elle est donc applicable à tout type d’entreprise française et européenne.

Alors que la certification ISO 27001 est une démarche volontaire de l’entreprise qui veut améliorer en continu la sécurité de l’information. C’est une démarche que choisit de conduire l’entreprise. Dans le cadre d’une certification ISO 27001, l’étude de risques va être beaucoup plus large : on va comprendre et intégrer les risques liés aux données personnelles des clients et des salariés mais aussi d’autres problématiques de sécurité de l’information, la perte ou le vol de données. Un projet 27001 va comporter la nécessité de se mettre en conformité avec toutes les lois et règlements concernant la sécurité de l’information.

Combien de temps prend la mise en œuvre de ces différentes certifications ? Quelles en sont la complexité et le coût ?

Le temps de mise en œuvre de ces démarches et d’obtention de la certification va varier entre 12 et 24 mois pour une certification ISO 27001. Les coûts sont variables en fonction de la maturité de l’entreprise : il y a des coûts de mis en œuvre, de formation, d’accompagnement et de certification. Le coût peut être défini au démarrage du projet mais il est vraiment spécifique à toute entreprise, selon sa complexité et son nombre de salariés.  

Les facteurs clés de succès d’une démarche de certification sont en premier lieu l’implication de la direction et le fait que ce soit un vrai projet d’entreprise, la bonne appropriation des normes, de leur vocabulaire, et de leurs exigences. Dans le cadre de l’ISO 27001, il est essentiel de bien connaître les méthodes d’analyse des risques qui sont propres à la sécurité de l’information.

Lien vers la FAQ ISO 27001

Quelles sont les différences entre cybersécurité et certification ISO 27001 ?

Ce qu’on appelle cybersécurité, c’est la protection de l’entreprise contre la cybermenace. La menace dans un monde qui est connecté à internet avec plus en plus d’objets connectés et donc la possibilité par exemple de prendre à distance le contrôle d’une voiture ou d’une entreprise industrielle connectée.

La sécurité de l’information, elle, va être beaucoup plus large. Elle va poser toutes les questions de cybersécurité mais aussi d’ordre juridique, d’ordre fonctionnel pour garantir de façon générale la sécurité de l’information.

Avez-vous une anecdote de situation à risque qui aurait pu être évitée avec l’obtention de certifications ?

Les cas les plus courants que l’on rencontre dans les accompagnements en termes d’incidents en matière de sécurité, ce sont les ransomware, l’incapacité après pour l’entreprise d’accéder à ses données, la perte de données, des données mal sauvegardées que l’on ne peut plus récupérer ou les pertes de matériel sensible. Ce sont les incidents les plus courants, des types d’événements qui peuvent se produire en matière de sécurité de l’information. Généralement ce sont des incidents que l’on peut traiter dans le cadre de la certification ISO 27001 sur la première année. Parce que cela repose beaucoup sur des processus simples et sur une sensibilisation du personnel.

Aujourd’hui, la certification ISO 27001 pour les acteurs du numérique ou de l’information, est un outil incontournable, commercial, un outil pour structurer l’entreprise, pour s’améliorer et pour passer à un niveau de maturité beaucoup plus important en termes de qualité de service. C’est souvent vu, comme quelque de complexe, de difficile et de long. Il ne faut pas négliger cette complexité, elle existe, mais des méthodes aujourd’hui existent permettant une mise en place plus simple et agile, adaptées aux entreprises. 

Quelles sont les activités de Feel Agile ?

Feel Agile est spécialisé dans les accompagnements de certifications des entreprises du numérique.

Nous travaillons principalement avec les éditeurs de logiciel, les hébergeurs de données, les SSII, les sociétés de conseil ou des Data Centers. Ainsi, nous aidons les entreprises du numérique à acquérir des certifications.

Il y a deux grandes catégories de certification :

  • Les certifications qui touchent la sécurité de l’information : la certification ISO 27001, la certification SecNumCloud et les accompagnements sur le RGPD.
  • Les certifications sur la qualité de services, avec l’ISO 9001 qui s’applique à tout secteur d’activité, et la certification ISO 20000, qui est spécialisée pour les productions informatiques ou les services informatiques.

Si vous souhaitez approfondir certains sujets ou si vous avez des projets de certification, n’hésitez pas à nous contacter !

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


SecNumCloud- sécurité des Services Cloud

SecNumCloud- sécurité des Services Cloud

Référentiel de sécurité des services informatiques en nuage

L’adoption massive des services cloud par le public et le privé a amené l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) à créer en 2016 un référentiel permettant d’évaluer le niveau de sécurité proposé par les fournisseurs de produits et services en SaaS, le SecNumCloud.

Depuis l’entrée en vigueur du RGPD, l’ANSSI en collaboration avec la CNIL a fait évoluer le référentiel. Il inclut aujourd’hui de nouvelles exigences en matière de données personnelles. C’est donc l’occasion de faire le point sur cette qualification qui souhaite allier sécurité, fiabilité et transparence.

Pourquoi la qualification SecNumCloud ?

Revenons d’abord sur la notion de cloud. L’hébergement en nuage est un modèle de gestion informatique permettant l’accès via un réseau à des ressources informatiques partagées et configurables.

La particularité du cloud computing se manifeste par la mise à disposition de ressources, de manière dynamique ou automatique, sans intervention humaine de l’hébergeur. Trois types d’activités sont concernées par l’hébergement en nuage : les infrastructures en tant que service (IaaS), les plateformes en tant que service (PaaS) ainsi que les logiciels en tant que service (Saas).

Avec l’externalisation des données, des inquiétudes peuvent apparaître sur la fiabilité et ralentir l’adoption du cloud computing.

Dans un contexte de recrudescence des cyberattaques de plus en plus complexes, le choix d’une solution sécurisée est donc un enjeu stratégique pour les entreprises ! Afin de guider les utilisateurs dans ce choix et de renforcer les capacités de cyberdéfense françaises, l’ANSSI a donc créé la qualification SecNumCloud en 2016.

Ce véritable référentiel de sécurité est totalement adapté aux métiers de services en nuage. Son approche centralisée traite la problématique de sécurité de manière globale et ceci avec un cadre stable dans lequel les utilisateurs pourront fonder leur confiance en cette qualification.

Le SecNumCloud, c’est quoi ?

Ainsi, le SecNumCloud est conçu comme une véritable garantie du respect des bonnes pratiques de sécurisation des données. La norme ISO 27002 est l’un des socles de sa construction : les exigences y sont ainsi adaptées au contexte spécifique du Cloud et complétées.

Chiffrement des données, conformité à la RGPD, contrôle d’accès et gestion des identités renforcés, mise en place de zones privées et sensibles contrôlées, protection de l’information journalisée, établissement de convention de service avec le prestataire,… La qualification SecNumCloud met au cœur la réactivité et impose un niveau de sécurité global significatif.

Le SecNumCloud, C’est pour qui ?

La qualification SecNumCloud s’adresse spécifiquement aux Opérateurs d’Importance Vitale et aux organismes étatiques. Mais elle concerne également chaque entreprise qui manipule des données sensibles et qui est soumise à des enjeux importants de sécurité et de confidentialité des données.

Comment ça marche ?

Pour obtenir cette qualification, les prestataires doivent répondre à un certain nombre d’exigences énumérées dans le référentiel. Ils constituent au préalable un dossier de demande qualification qui doit être accepté par  l’ANSSI, puis avec un chargé de qualification, ils élaborent une stratégie d’évaluation. Une fois l’évaluation réalisée, le directeur de l’ANSSI prend la décision finale de qualification du prestataire. Associé au Visa de Sécurité, la qualification SecNumCloud est valable pendant trois ans. Des audits de surveillance doivent être réalisés tous les 18 mois afin de contrôler la bonne conformité des dispositifs (retrouvez tous les centres d’évaluation sur le site de l’ANSSI).

 Par cette qualification, l’Etat s’engage ainsi à ce que les services des fournisseurs d’hébergement en nuage audités et validés soient fiables et répondent à toutes les exigences du référentiel.

Pour retrouver le référentiel d’exigences, c’est par ici.

Vous avez encore des interrogations ? N’hésitez pas à nous contacter. Nous répondrons à toutes vos questions et nous vous accompagnerons dans la mise en place du référentiel SecNumCloud dans votre structure.


Thomas

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Prendre ses responsabilités dans l’entreprise

Prendre ses responsabilités dans l’entreprise

En évoquant dans mon dernier article  (l’entreprise libérée) le thème de l’entreprise libérée, j’ai promis à mes lecteurs fidèles et attentifs de revenir sur la question de la responsabilité.

Commençons par une définition : 

«responsabilité» vient du latin respondere, qui signifie «répondre».  

Anatole France écrit fort à propos :

«Vous ferez damner votre bon maître et vous en répondrez devant Dieu».

Répondre de ses actes, donc, ou «assumer ses responsabilités».

Chacun est responsable de ce qu’il dit et de ce qu’il fait : c’est sa responsabilité individuelle telle qu’on la comprend habituellement.

Mais, de façon moins visible, de ce qu’il laisse dire et laisse faire : c’est la condition pour un bon fonctionnement en équipe.

Être responsable, c’est accepter les conséquences de ce que l’on fait. Je dirais donc que c’est l’opposé d’être soumis qui supprime la qualité d’auteur de ses actes. 

Enfin, ça signifie s’exprimer sans détours, sans termes vagues ou visant à se défausser sur autrui. 

Nous connaissons tous ce genre d’attitudes (souvent pour les avoir pratiquées soi-même !) :

–     C’est la faute des autres (ils sont trop nuls) / du matériel (pourri) / du Système !

–     Je n’y peux rien

–     C’est injuste

–     Je n’ai pas de chance

responsabilité et comportement
responsabilité et comportement

Si on commence par se trouver des excuses, c’est qu’on ne veut pas identifier sa part de responsabilité.

Admettre que les difficultés ne sont ni la faute d’autrui ni des contingences extérieures est un signe d’une prise de conscience. 

Reste encore à faire autre chose que se blâmer soi-même, ce qui est une autre façon de s’excuser en ne réglant rien (le mea culpa où l’on invoque sa nature, son caractère, d’un définitif «je suis comme ça»).

Rejeter la faute ou jouer à Caliméro sont des moyens de l’inaction.

Chers lecteurs je ne suis pas en train de faire de la morale ou une dissert’ de philo, et voilà où je veux en venir :

La responsabilité, c’est une force, c’est un moyen d’action

Se plaindre, blâmer les autres, serait s’éloigner encore plus de la résolution d’un problème donné, parce qu’alors on perd tout le contrôle, en remettant la potentielle solution entre les mains d’une tierce personne.

Au lieu de se décharger de son pouvoir en reportant la responsabilité sur l’extérieur, en reconnaissant les erreurs comme siennes, on garde le contrôle.

Une distinction est faite depuis l’Antiquité entre ce qui arrive (qu’on ne choisit souvent pas) et notre manière d’y répondre. On dispose toujours*1 du pouvoir de choisir notre réponse. Notre réaction est du domaine de notre responsabilité.

Là je vais vraiment vous donner le frisson de la copie de philo, en rappelant que les Stoïciens (trop tendances en ce moment dans le monde de management) distinguaient le propathos(réaction instinctive) de l’eupathos(sentiments issus d’un jugement réfléchi).

Ex. de propathos : «put***, mais j’y peux RIEN, môa ! C’est les commerciaux qui assurent pas !!!»

Ex. d’eupathos : «je dois me concerter avec le service commercial pour trouver une nouvelle façon de faire, sinon le prochain trimestre ne sera pas plus brillant»

Choisir sa réponse

Quand on détermine soi-même ce qui se passe dans son esprit, on reste acteur, plutôt que subir. 

Dans toute contrariété, erreur, échec, il y a une opportunité de s’améliorer.

C’est le moment de prendre conscience de l’origine précise des défaillances, et d’y remédier, pour éviter la répétition de cette situation à l’avenir.

Quand il s’agit d’apprendre de ses erreurs, on a toujours plus de capacités que ce qu’on croit au premier abord.

J’ai parlé dans un post LinkedIn de Jocko Willink. Son livre porte le titre «responsabilité totale». 

Pour lui, même la cause la plus pourvoyeuse d’excuse (une tempête qui provoque l’échec d’une mission), ne dispense pas de responsabilité. Sa façon de penser est : 

  • comment en tirer une leçon pour progresser ? 
  • quel plan fonctionnerait même s’il y avait un phénomène météo violent ?
Choix et responsabilité
Responsabilité et la notion de choix

Responsabilisation et diffusion du pouvoir

La responsabilité n’est pas attachée au pouvoir hiérarchique, mais un dénominateur commun. 

Ce qui m’intéresse, dans l’exemple des entreprises libérées, que j’évoquais la semaine passée, c’est qu’elles sont particulièrement aptes à développer les capacités des collaborateurs, à les responsabiliser.

Les managers y ont compris qu’on ne peut pas motiver ses collaborateurs en les culpabilisant. D’une forme de contrôle-sanction (atteinte des objectifs), on passe à un modèle dans lequel les managers identifient des difficultés spécifiques et aident leurs équipes à les dépasser.

On demande aux managers de faire monter en compétences les équipes, de les aider à exprimer leurs talents, à être plus autonomes et donc spontanément plus conscients de leurs responsabilités.

Je pense que cet «empowerment» est une source essentielle de motivation, un thème que j’évoquerai prochainement.

Salutations maîtrisées,

Thomas

(qui est toujours prêt à répondre)

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !